Ad OpenSSH codebase experimentum subsidium duos factor authenticas utens machinas quae protocol sustinent , evolvit societatem . U2F conditionem ferramentorum ignobilium permittit signa ut praesentiam corporis utentis comprobandum, cum eis mutuo occurrat per USB, Bluetooth vel NFC. Tales cogitationes promoventur ut medium authenticas in websites interretiales, maioribus navigatoribus iam suffultae et a variis fabricatoribus gignuntur, inter quas Yubico, Feitian, Thetis et Kensington.
Ad mutuas machinas quae praesentiam utentis confirmant, novum genus clavium OpenSSH additum est "[Inscriptio protected]" ("ecdsa-sk"), quo utitur ECDSA (curva elliptica Algorithmus signaturae Digitalis) digitalis signatio algorithmus cum NIST P-256 curva elliptica et SHA-256 Nullam. Procedendi causa inter se cum signis ponuntur in bibliotheca media, quae simili modo bibliothecae pro PKCS#11 oneratur, et fascia super bibliothecam est. quae instrumenta communicandi cum signis super USB (FIDO U2F/CTAP 1 et FIDO 2.0/CTAP 2 protocolla sustentantur). Bibliotheca media libsk-libfido2 parata ab OpenSSH developers in nucleum libfido2, tum ad OpenBSD.
Ut U2F utere, nova frustum codebase e . uti potes OpenSSH et caput bibliothecae quae iam lavacrum necessarium OpenSSH includit.
Libfido2 subsidia OpenBSD, Linux, macOS et Windows.
Ad signo authenticitatis et clavem generandi, necesse est ut SSH_SK_PROVIDER variabilis ambitus designet, in ea viam ad libsk-libfido2.so (exporto SSH_SK_PROVIDER=/iter/to/libsk-libfido2.so), vel bibliothecam definire per SecurityKeyProvider. occasum ac deinde "ssh- keygen -t ecdsa-sk" vel, si claves iam creatae sunt et configuratae, coniunge cum servo "ssh" utente. Cum ssh-keygen curris, par clavis generatum in "~/.ssh/id_ecdsa_sk" salvabitur et similiter aliis clavibus adhiberi potest.
Clavis publica (id_ecdsa_sk.pub) exscribi debet cum servo in file authenticis. In calculonis servi, solum subscriptio digitalis verificatur, et commercium cum indicibus in clientela exhibetur (libsk-libfido2 in servo instituere non debes, sed minister "ecdsa-sk" clavem generis sustinere debet) . Generatum clavem privatim (id_ecdsa_sk) essentialiter manubrium clavis est, realem clavem tantum in compositione cum sequentia secreta in U2F parte signo repositam formans.
Si clavis id_ecdsa_sk incidit in manus impugnantis, ut authenticas transeat, necesse erit etiam accessum ad tessera ferramentaria accedere, sine quibus clavis privata in fasciculo id_ecdsa_sk reposita inutilis est. Praeterea per defaltam, quando operationes quascumque cum clavibus (tam in generatione et tempore authenticas faciendo), requiritur confirmatio localis praesentiae utentis physicae, exempli gratia, propositum tangendi sensorem in signo, quod difficilem reddit. remota ratio exsequi impetus in signum connexum. Cum alia defensionis linea, tessera etiam per initium temporis ssh-keygen ad clavem fasciculi accedere potest.
Clavis U2F ad ssh-agens per "ssh-add ~/.ssh/id_ecdsa_sk" addi potest, sed ssh-agens cum subsidio "ecdsa-sk" clavium, libsk-libfido2 lavacrum praesens esse debet atque edificari debet. agens debet currere in systemate, cui iungitur signum.
Novum genus clavis "ecdsa-sk" additum est quia forma clauium OpenSSH ecdsa ab U2F forma differt pro subscriptionibus digitalibus ECDSA coram agris additis.
Source: opennet.ru